Guida alla Strong Authentication via SMS

STRONG AUTHENTICATION VIA SMSCome aumentare sicurezza e privacyin modo semplice e a basso costo

2

Cos’è la Strong Authentication

L’SMS come strumento di Strong Authentication

Esempi di utilizzo dell’SMS come Strong Authentication

Requisiti tecnici della Strong Authentication via SMS

Il Gateway di Skebby

Agenda

Strong Authentication via SMS

3

Strong AuthenticationLa Strong Authentication


E’ il sistema di autenticazione su più livelli (2FA) che serve per:

• Verificare l’identita degli utenti

• Garantire privacy

• Massimizzare sicurezza

• Diminuire i rischi di frodi

4

Come viene comunementeutilizzata la Strong Authentication


Criterio statico (Username)

Password

Codice dinamico

OTP (One Time Password)

La Strong Authentication

5

OTP (One Time Password)


L’OTP, al contrario della password statica, non e vulnerabile dagli attacchi di replica.

Inizialmente i mezzi più diffusi per questo tipo di operazione erano: la chiavetta token e/o la chiamata telefonica. Recentemente un numero crescete di imprese ha iniziato ad utilizzare l’SMS per la Strong Authentication degli utenti.


6

Perchè l’SMS come strumento diStrong AuthenticationIl pianeta sta diventando sempre più mobile.. …ed il mobile sta diventando l’interfaccia

primaria di interazione con il consumatore

• 6 miliardi di telefoni cellulari nel mondo

• 4,3 miliardi di utenti mobile attivi nel 2014

• 1 miliardo di utenti smartphone

• 65% degli utenti smartphone portano il telefono a letto

• 25% degli utenti iPhone pensano che il telefono sia un estensione del proprio corpo

eMarketer – January 2014 The New Research Center



7

L’SMS è uno strumento moltoutilizzato dalle aziende in Italia…

Mercato Bulk SMS in ItaliaMiliardi di SMS, 2011-2013

Fonte: Osservatorio Mobile Marketing & Service di Politecnico di Milano

2011 2012 2013

1.5

1.9

2.2

+24%

+15%



8

…e nel mondo

Fonte: Portio Research LTD

Mercato mondiale Bulk SMS A2P e P2A, Miliardi di $, 2010-2017

2010 2011 2012 2013 2014

33.6

39.844.3

48.250.4



9






Agenda


10

Come funziona la Strong Authentication via SMS


① L’utente inserisce il numero di cellulare all’interno dell’interfaccia web dell’azienda

② I sistemi dell’azienda generano una OTP che viene inoltrata all’utente via SMS

③ L’utente riceve la OTP via SMS e la inserisce sull’interfaccia web autenticandosi

① .

② .

③ .


11

Generazione dipassword dispositive “usa e getta”



① L’utente inserisce il proprio numero di cellulare sul portale della banca② In quel momento sul telefono vera inviato un SMS con la password “usa e getta” (OTP) ③ L’utente inserira l’OTP ricevuta via SMS per autorizzare la disposizione

① . ② . ③ .

12

Autenticazione utentiper accesso a dati sensibili e per la sicurezza



CHAT APPIl tuo codice di validazione è : 1234

SMS

① .

② .

③ .

① L’utente inserisce il numero di cellulare all’interno dell’App mobile② Riceve un SMS con il codice da inserire nell’App③ Inserisci il codice nell’App per confermare il numero di telefono

13

Validazione utenti e listedei clienti (database)



① L’utente inserisce il proprio numero di cellulare sul portale web② In quel momento sul telefono vera inviato un SMS con il PIN di verifica③ L’utente inserira il PIN ricevuto via SMS per autorizzare l’utente

① . ② . ③ .

14






Agenda


15

Generazione dipassword dispositive “usa e getta”


CheBanca! ha creato il proprio sistema di Strong Authentication via SMS per confermare le operazioni attraverso il sistema di OTP (One Time Password).


16

Autenticazione utentiper accesso a dati sensibili


Regione Lombardia ha creato un portale web che permette al cittadino di consultare il proprio Fascicolo Sanitario Elettronico (FSE), la cartella sanitaria on line con le informazioni mediche e i documenti clinici

① . ② . ③ .


17

Autenticazione utentiper sicurezza identita utenti


Come gli altri sistemi di messaggistica istantanea, anche Whichapp utilizzala Strong Authentication per identificare l’utente associandolo alla SIM / telefono cellulare attraverso l’invio di un SMS con codice di verifica.

① . ② . ③ .


18

Validazione utentie liste dei clienti (database)


① . ② . ③ .


Il sistema di ING Direct associa un numero di cellulare per ogni account durante il processo di iscrizione dei clienti.Il sistema oltre a validare l’utente, verifica che ogni utente possieda un numero di cellulare al fine di eliminare gli account duplicati.

19






Agenda


20

Immediatezza egaranzia della consegna



L’immediatezza e la garanzia di consegna dell’SMS sono parametri fondamentali per poter garantire il corretto funzionamento dei sistemi di Strong Authentication via SMS.

Elementi fondamentali:• Tassi di consegna elevati• Rapidita di consegna

21

Notifica diconsegna dei messaggi



L’SMS potrebbe non venire recapitato dall’operatore mobile.Il sistema deve consegnare l’esito dell’invio (Delivery Report o DLR) ed il tipo di errore in modo che l’azienda possa decidere come procedere con il processo di autenticazione

• Stato di consegna

22

Scadenzadel messaggio



Il periodo di scadenza, solitamente standard (48 ore) deve poter essere essere configurato ad intervalli ridotti(3 minuti). Se l’SMS con OTP non venisse consegnato, l’azienda potra procedere con l’inoltro di un nuovo messaggio con una nuova OTP

• Cancellazione vecchio messaggio• Generazione nuova OTP• Invio nuovo messaggio con OTP

23






Agenda


24

Il Gateway di Skebby Il Gateway di Skebby


SMS Gateway è la piattaforma che consente di inviare e ricevere SMS online direttamente dai sistemi aziendali tramite API e usando i principali linguaggi di programmazione.

25

Caratteristiche del servizio Il Gateway di Skebby


• Capacita’ inoltro SMS verso operatori, minima garantita: 200SMS/s • Sicurezza: collegamenti cifrati a 128 bit SSL via HTTPS • Invio multipli massivo fino 100.000 numeri con singola richiesta • Personalizzazione del mittente con diverse opzioni • Definizione del periodo di scadenza messaggio (da 3 min fino a 48 ore) • Tracciabilita’ dello stato di consegna SMS e degli errori per messaggio • Reportistica degli SMS inviati, consegnati e degli errori su web/mail • SMS lunghi: fino 1530 caratteri (o 10 messaggi concatenati) • Ricezione risposte agli SMS inviati • Personalizzazione del testo per singolo destinatario con variabili dinamici • Spedizioni programmate/ripetute • Invio di SMS anche tramite client/server e-mail (SMTP)

26

Performance del Gateway SMSSkebby nei processi di Strong Authentication



Lombardia Informatica (l’IT della Regione Lombardia) ha valutato la piattaforma SMS Skebby rispetto a quella di Telecom Italia nell’ambito di una gara per la fornitura del servizio di invio SMS per Strong Authentication.

Il Gateway SMS Skebby soddisfa i requisiti più stringenti in termini di immediatezza e garanzia di consegna dei messaggi cosi come in termini di personalizzazione dei parametri es. validita del messaggio.

27

Piattaforma SMSIl Gateway di Skebby


• Sistemi avanzati di interfacciamento per sviluppo di automatismi (API) semplicita e rapidita di utilizzo pur con completezza di funzionalita

• Tutti i server, gli switch, e lo storage sono ridondati, nel caso di guasti ad un componente i rimanenti continuano ad erogare il servizio senza interruzione

• Presidio diretto dei sistemi 12 ore/giorno. Appositi applicativi di monitoraggi controllano 24 ore su 24 tutti i processi ed al verificarsi di qualsiasi anomali provvedono ad avvertire un tecnico che interverra entro un’ora

• Più connessioni dirette in fibra ottica con i principali operatori (TIM, Vodafone e Wind) ed i maggiori aggregatori mobili in grado di offrire connessioni SMS ad alta capacita, potenti, rapidissime capaci di recapitare messaggi su qualsiasi apparato terminale di rete mobile in Italia ed in oltre 170 paesi

SLA disponibilita servizio per punto di accesso: 99,7%

SMS alta qualita, ricezione immediata e rapporto di consegna

28

Infrastruttura tecnologicaIl Gateway di Skebby


• L’infrastruttura si basa su di una piattaforma tecnologica proprietaria• Tutta l’infrastruttura hardware di Skebby è collocata presso la web Farm KPNQwest

disposta su un totale di 1140mq. La struttura è adiacente al MIX di Milano in via Caldera: i server in housing sono controllati 24 ore su 24.

• Elevata attenzione a procedure e controlli per garantire massima sicurezza• Procedure di disaster recovery su infrastruttura virtuale garanzia di continuita• Il servizio viene erogato in outsourcing con accesso via Webservice e VPN

SLA disponibilita servizio per punto di accesso: 99,7%

SMS alta qualita, ricezione immediata e rapporto di consegna

29

Integrazione facile e immediataIl Gateway di Skebby


Documentazione SMS Gateway API Esempi di codice e SDK

Moduli CMS/CRM Moduli Esterni

Semplici API SMS Gateway che ti con- sentono di integrare il potente gateway SMS Skebby con la tua applicazione o server web in modo facile e immediato.

All’inteno della pagina sviluppatori del nostro sito puoi trovare codici e SDK che puoi copiare e incollare nei tuoi sistemi per inviare SMS con Skebby

Disponibili moduli per CMS e CRM facilmenteintegrabili per darti la possibilita di cominciare subito ad inviare SMS.

Librerie sviluppate da nostri clienti per i loro sistemi. Accedendo alla pagina sviluppatri puoi scoprire numerosi codici gia pronti e integrabili.

30

Referenze di SkebbyIl Gateway di Skebby


31

SCARICA LA GUIDA COMPLETA sulla

STRONG AUTHENTICATIONVIA SMS

www.skebby.it/risorse-mobile-marketing/

white-paper-sms/

http://www.skebby.it/risorse-mobile-marketing/white-paper-sms/






Guida alla Strong Authentication via SMS

Mobile

Transcript of Guida alla Strong Authentication via SMS